27 septembre 2018

Les vulnérabilités de la chaîne logistique des logiciels libres !

Salut à tous,

Du site Développez.com : Doublé en 1 an, cependant, leur utilisation a augmenté de 120 % selon un rapport !  Tél01

   ¨ Un nouveau rapport d’état des logiciels a été publié hier par Sonatype, société d’automatisation des logiciels, selon lequel les entreprises continueraient de télécharger et d’utiliser certains logiciels libres malgré l’énorme attaque contre Equifax, l’agence d'évaluation du crédit à la consommation. En effet, l’attaque a été rendu possible grâce un composant open source vulnérable connu du projet Apache Struts.

   Un logiciel libre est un logiciel dont l'utilisation, l'étude, la modification et la duplication par autrui en vue de sa diffusion sont permises, techniquement et légalement, ceci afin de garantir certaines libertés induites, dont le contrôle du programme par l'utilisateur et la possibilité de partage entre individus. Selon Sonatype, de tels logiciels sont en utilisation croissante dans les sociétés malgré les rapports de vulnérabilité et les discussions que ses rapports suscitent. Au cours des 12 derniers mois, l’utilisation des composants open source vulnérables a augmenté de 120 % en glissement annuel.

   Dans son rapport de 2017, Sonatype attirait l’attention sur le fait que toutes les entreprises devenaient des sociétés de logiciels. Mais, selon la société, cette année la situation est passée à un autre niveau. Tous les types d’entreprises recrutent une armée de développeurs de logiciels et consomment des quantités extraordinaires de composants open source. Selon Sonatype, de nombreuses cyberattaques de grande envergure ont montré que les cybercriminels procèdent également en créant des vulnérabilités de sécurité dans la chaîne logistique des logiciels, y compris des logiciels libres.

   11 exemples de cyberattaques récentes ont été cités qui montrent que ces attaquants ont commencé à injecter des failles directement dans des projets  open source. A titre d’exemple, Gilbertson a signalé un package npm malveillant capable de collecter les numéros des cartes de crédits sur des centaines de sites Web.

   La majorité des vulnérabilités relevées par la Société de logiciels repose sur la manipulation des npm et 1,3 millions des vulnérabilités découvertes dans les composants de logiciels open source ne sont pas dans la base de données publique des vulnérabilités NDV, c’est-à-dire qu’elles sont nouvelles par conséquent, difficiles à traiter, selon Sonatype.

   ( Voir l`article au complet )

https://www.developpez.com/actu/226271/Les-vulnerabilites-de-la-chaine-logistique-des-logiciels-libres-ont-double-en-1-an-cependant-leur-utilisation-a-augmente-de-120-pourcent-selon-un-rapport/?utm_source=dlvr.it&utm_medium=twitter

Pégé

 

Posté par arvida2015 à 07:48 - - Commentaires [0] - Permalien [#]
Tags : , ,